web-dev-qa-db-ja.com

サインインしようとすると「BCrypt :: Errors :: InvalidHash」

プロジェクトを終了しようとしています。ユーザーモデルを使用しています。私がサインアップするとき、すべては大丈夫のようです。しかし、同じメンバーにサインインしようとすると、このエラーが発生します。

申し訳ございません。不具合が発生しました。 heroku logsファイルには次のようなエラーが表示されます:

BCrypt::Errors::InvalidHash (invalid hash):
  app/controllers/sessions_controller.rb:8:in `create'

my * sessions_controller *は:

class SessionsController < ApplicationController

  def new
  end

   def create
    user = User.find_by_email(params[:session][:email])
    if user && user.authenticate(params[:session][:password])
      sign_in user
      redirect_to user
    else
      flash.now[:error] = 'Invalid email/password combination'
      render 'new'
    end
  end


  def destroy
    sign_out
    redirect_to root_path
  end
end

ユーザーモデルは次のとおりです。

class User < ActiveRecord::Base
  attr_accessible :email, :name, :nickname,:password, :password_confirmation 
  has_secure_password


  before_save { |user| user.email = email.downcase }
  before_save { |user| user.nickname = nickname.downcase }
  before_save :create_remember_token
....validations......

    private

    def create_remember_token
      self.remember_token = SecureRandom.urlsafe_base64
    end
end 

これは私のsession.helper

module SessionsHelper

  def sign_in(user)
    cookies.permanent[:remember_token] = user.remember_token
    self.current_user = user
  end
  def signed_in?
    !current_user.nil?
  end

  def current_user=(user)
    @current_user = user
  end

  def current_user
    @current_user ||= User.find_by_remember_token(cookies[:remember_token])
  end

  def sign_out
    self.current_user = nil
    cookies.delete(:remember_token)
  end
end

Heroku rake db:migrate、heroku restartを試しました。変更はありません。

43
ytsejam

これは、password_digestは、有効なBCryptハッシュではありません(フィールドが空の場合を含む)。

コメントに基づいて、has_secure_passwordは存在しなかったため、パスワードダイジェストは保存されませんでした。データベースを見ると、おそらくpassword_digestはそのユーザーに対して空です。データベースからユーザーを削除し、新しい作業コードで再作成すると、動作するはずです。

コメントで議論している間、私はパスワードが間違っている理由について(間違った)推測をしました、そして私はすでに説明を書き上げました。そのため、ここでは直接適用されていませんが、この問題を抱えている将来の訪問者向けです。


これは通常、SHA1または別のアルゴリズムの使用からBCryptに切り替えたが、BCryptのパスワードの再ハッシュに失敗した場合に発生します。元のパスワードにアクセスできないため(または、少なくともそうすべきではありません...)、both BCryptと元の認証スキームを使用する必要があるため、切り替えるのは少しいです。たとえば、以前にSHA1を使用していて、現在BCryptを使用している場合、SHA1パスワードハッシュas BCrypt入力のプレーンテキストパスワードを処理する必要があります。たとえば、次のようなBCryptダイジェストを作成できます。

sha1_password = Digest::SHA1.hexdigest("#{salt}#{real_password}")
self.password_digest = BCrypt::Password.create(sha1_password).to_s

次に、doにアクセスできるsha1パスワードハッシュに基づいてbcrypt password_digestsを作成できます。

次のように認証します。

sha1_password = Digest::SHA1.hexdigest("#{salt}#{attempted_password}")
BCrypt::Password.new(self.password_digest) == sha1_password

上記の例ではSHA1を使用しましたが、これは他のハッシュアルゴリズムでも機能します。

79
Ben Lee

既にライブユーザーが存在し、同様に、暗号化されていないパスワードをデータベースに保存しました。 bcryptの使用を開始すると、暗号化されたパスワードが予期されていたため、見つからない場合、このエラーが発生しました。

したがって、エラーをキャッチしてレガシーユーザーにパスワードをリセットするように促すために、このレスキューを追加しました。

begin
    # your code that attempts to login the user
rescue BCrypt::Errors::InvalidHash
  flash[:error] = 'We recently adjusted the way our passwords are stored. Please click the "forgot username or password?" link to re-establish your password. Thank you for your understanding!'
  redirect_to password_resets_url
end 

お役に立てれば。

10
nfriend21